マイクロソフトは、第三者の監査および認証を取得しており、厳密なセーフガードの下でサービスが設計され、運用されていることをお客様に信頼していただけます。
マイクロソフトの目標は、お客様が望まれるセキュリティおよびプライバシーを備えてマイクロソフトのサービスを運用し、マイクロソフトのセキュリティおよびプライバシーについてお客様に正確な保証を提供することです。マイクロソフトは、偶発的な損失、破損、または改変、不正な開示またはアクセス、または違法な破壊からお客様データを保護するために、適切な技術的および組織的な手段、内部管理、および情報セキュリティ ルーチンを実装し、維持します。マイクロソフトは毎年、国際的な認められた監査機関による第三者監査を受け、マイクロソフトは、セキュリティ、プライバシー、連続性、およびコンプライアンスのためのマイクロソフトのポリシーおよび手順を使用して、独自の方法でコンプライアンスを遵守していることを検証します。
| MS Online 証明書とコンプライアンスに関連する URL | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 および Microsoft Dynamics CRM Online のデータ センターと物理的インフラストラクチャ (Microsoft Global Foundation Services による提供) | |
ここでは、一般的な情報提供を目的としています。ここに説明されている情報は、いつでも変更される可能性があり、マイクロソフトが確約または保証していると解釈されないものとします。
Statement on Auditing Standards No.70 (SAS 70) は、米国公認会計士協会 (AICPA) により定められた監査基準で、サービス提供企業を対象にしています。サービス提供企業は、一般的に、顧客の管理環境に影響を及ぼすアウトソーシング サービスを提供する企業です。サービス提供企業の例としては、保険および医療費の請求処理者、ホスト データ センター、アプリケーション サービス プロバイダー (ASP)、およびマネージ セキュリティ プロバイダーがあります。2011 年 6 月 15 日以降、サービス提供企業の管理の遵守に関する独立した検証を提供する基準として、SSAE 16 (Statement on Standards for Attestation Engagements No. 16) が SAS 70 に代わって適用されます。SSAE 16 監査および SAS 70 監査は、いずれもセキュリティ管理の遵守およびセキュリティ管理の有効性に関して独立して検証します。
SSAE 16 または SAS 70 サービス監査機関の検証結果 ("SAS 70/SSAE 16 監査") には、以下に関するサービス監査機関の評価が記載されます。
1. サービス提供企業の管理が明確に定義されているかどうか。
2. サービス提供企業の管理が効果的に設計されているかどうか。
3. 指定された日付に、サービス提供企業の管理が実践されているどうか。
4. 指定された期間に、サービス提供企業の管理が有効に実践されているかどうか (SAS 70 Type II/SSAE 16 SOC 1 Type II のみ)。
マイクロソフトの SAS 70/SSAE 16 監査は、外部第三者 (四大会計事務所の 1 つ) によって実施されています。
SAS 70/SSAE 16 監査は、1 年に 1 回実施されます。生成される監査報告には、外部第三者による管理についての意見が含まれます。監査の基準と種類に詳細については、www.aicpa.org を参照してください。
Global Foundational Services (GFS) は、インフラストラクチャ (データ センターおよびネットワーキング) サービスを、Office 365、BPOS-S、BPOS-D、Dynamics CRM Online、および Windows Azure などのマイクロソフトのオンライン資産に提供しています。Office 365 および Dynamics CRM Online のアプリケーション層管理は、現在、最初に SSAE 16 SOC 1 Type I の下で、その後に SSAE SOC 1 Type II で評価されるべく準備を進めています。Office 365 および Dynamics CRM Online の SSAE 16 レポートは、GFS レポートの先頭に記載され、管理をエンドツーエンドで表現します。GFS は現在 SAS 70 Type II の認証を受けており、次の定期監査で SSAE 16 に対しても監査される予定です。
Microsoft Online Services の情報セキュリティ ポリシーは、オンライン サービス固有の要件が付加された ISO 27002 に準拠しています。組織は、情報セキュリティ管理システム (ISMS) に関して、ISO 27001 認証を取得できます。ISMS は、通常、ISO 27002 情報セキュリティ規格に基づきます。ISO は、2009 年以降、Microsoft Online Services およびそのサポート インフラストラクチャの基盤であり、英国規格協会 (BSI) により認証されています。お客様は、ISO 基準- (一般に公開されています) を参照することが推奨されます。
すべての ISO 認証が公開されています。
ISO 27000 基準ファミリは、意図的に範囲が広くされており、プライバシー、機密性、および技術的なセキュリティ問題を対象にしています。また、"組織内の情報セキュリティ管理の開始、実装、管理、および改善のための確立されたガイドラインおよび全般的な原則" も対象にしています。このため、かかる基準は、数百の潜在的な管理および管理メカニズムの概要を規定しています。
Global Foundational Services (GFS) は、インフラストラクチャ (データ センターおよびネットワーキング) サービスを、BPOS-S、BPOS-D、Dynamics CRM Online、Office 365、および Windows Azure などのマイクロソフトのオンライン資産に提供しています。 ISO 認証のアプリケーション層管理は、GFS 認証の先頭に記載され、管理をエンドツーエンドで表現します。
欧州連合は、EU データ保護指令を通して、米国や他のほとんどの国よりも厳しいプライバシー規制を施行しています。これらの規制を実施するために、以下に記載されている "Safe Harbor" 認証などの認定されたメカニズムによって適法とされる転送手段が使用されている場合を除いて、個人データが国境を越えることを通常禁止しています。
国際的なビジネスで必要とされる連続した情報の流れを可能にするために、欧州委員会は米国商務省との間で同意事項を策定しました。これにより、米国の組織は、Safe Harbor 原則を遵守することにより自己認証することができます。これは、指令の要件を緩やかに追跡します。
欧州連合から米国にデータを合法的に転送するには、米国の企業または他の組織は欧州連合のプライバシー規則に一致する Safe Harbor 原則に準拠することを公的に証明する必要があります。マイクロソフトは Safe Harbor 認証を得ているため、Microsoft Online Services はデータを EU から米国に転送できます。
Safe Harbor フレームワークで認証の原則を参照し、米国商務省の Web サイトの認証でマイクロソフトの認証を確認することをお客様にお勧めします。
マイクロソフトは、2001 年に Safe Harbor プログラムに初めて認定され、12 か月ごとに Safe Harbor 原則の遵守の再認証を取得しています。
欧州連合の加盟国に加えて、欧州経済地域の加盟国 (アイスランド、リヒテンシュタイン、ノルウェー) も、これらの国から米国に国境を越えての転送を正当化するための適切なプライバシー保護を提供しているとして、Safe Harbor プログラム下で認証された組織を認定しています。スイスも、ほぼ同じ同意を米国商務省との間で策定し ("スイス米国間 Safe Harbor")、スイスから米国への合法的な転送を可能にしています。マイクロソフトは、かかる同意にも認証されています。
カナダやアルゼンチンなどの他のいくつかの国でも包括的なプライバシー法を策定しており、これらの法律の下で、欧州連合からこれらの国へのデータ転送することを欧州連合は許可しています。
お客様のニーズに対してマイクロソフトのセキュリティ手順を評価してください。
Microsoft Online Services のセキュリティは、世界水準です。ただし、特に機密性の高いデータが存在するのか、またはお客様の業界に適用される規制の下で特定のレベルのセキュリティに維持する必要があるデータが存在するのかを評価するのはお客様です。かかるデータは、マイクロソフトが提供していない特定のセキュリティ要件を必要としている可能性があります。
たとえば、お客様の業界では、10 文字のパスワードを必要としている可能性があります。マイクロソフトでは、通常、8 文字のパスワードを必要とします。
お客様には、マイクロソフトのセキュリティがお客様の組織の要件を満たすかどうかを判断する責任があります。
ここで説明されていないセキュリティ基準または要件を Microsoft Online Services が満たしているかどうかについて質問がある場合は、[リソース] セクションを確認するか、サポートにお問い合わせください。折り返しご連絡を差し上げます。
いいえ。Microsoft Online Services は ISO 27001 フレームワークに基づいてマイクロソフトのサービスを継続して評価し、改善しています。Microsoft Online Services の情報セキュリティ ポリシーは、クラス最高のセキュリティ慣行および関連する国際的、国内、州、または地域の要件への対応付けから導かれたその他の要件も満たしています。
組織によっては、情報セキュリティ管理システム (ISMS: 通常 ISO 27002 情報セキュリティ標準に基づきます) に、 ISO 27001 認証を取得していることがあります。認証は、多くの公認機関により発行されます。マイクロソフトはかかる認証を英国規格協会 (BSI) より取得しています。ISO 27001 監査は、情報セキュリティ管理システムに関連する保証を提供します。マイクロソフトは、透明性を提供することにより、お客様はマイクロソフトのサービスをお客様の要件に照らして評価し、告知された決定を行うと信じております。
Office 365 サービスの SharePoint Online、Lync Online、Exchange Online は ISO 認証を取得しています。Microsoft Dynamics CRM オンライン サービスも ISO 認証を取得しています。サービスのインフラストラクチャ層 (ネットワークおよびデータ センター) を提供している Global Foundation Services も ISO 27001 認証を取得しています。Microsoft Online Services のお客様は、一般に公開されている ISO 規格を参照し、お客様のセキュリティ要件が満たされているかどうかを判断することが推奨されます。
Microsoft Online Services は、お客様がマイクロソフトのポリシーを十分に理解したうえで判断を行っていただくために、以下の文書を含む多くのリソースを提供しています。
SAS 70 は、管理の設計と有効性の監査を提供するために主に米国で使用されており、SSAE 16 も同様の目的で使用されます。ISO 27001 は、組織のセキュリティ慣行を対象にする国際的な標準です。ISO 27001 は、ヨーロッパ、日本、およびアジアの一部の国で一般的ですが、米国でも採用する組織が増えています。ISO 27001 は、一連のセキュリティ管理を要求し、それらの管理を認証します。ISO 27001 は、SAS 70/SSAE 16 に比べて、より広い範囲を対象にしています。ISO 27001 は、CIA として一般的に参照される機密性 (Confidentiality)、保全性 (Integrity)、および可用性 (Availability) のセキュリティの 3 つすべての観点を対象にします。組織は、世界中の多くの認定レジストラーによって、ISO 27001 を遵守していると認定されます。
Microsoft Online Services は、通常、英語版以外の SAS 70 監査レポートを取得しません。ただし、Microsoft Online Services の SAS 70 監査企業は、要求に応じて監査レポートをほとんどの言語版に翻訳する能力を備えています。料金は要求される言語により異なり、要求するお客様に請求されます。すべての言語版が提供されるわけではありません。必要な場合には、Microsoft Online Services のカスタマー サポートにお問い合わせください。
マイクロソフトがデータへのアクセスを制限する方法については、セキュリティ センターの [管理アクセス] セクションを参照してください。
いいえ。マイクロソフトの独立した監査および認証が、個別のお客様監査の代わりにお客様に提供されます。 かかる証明と認証は、マイクロソフトがセキュリティと法令遵守の目標をどのように取得し、達成しているかを正確に表し、すべてのお客様へのマイクロソフトの約束を検証する実際的なメカニズムとして機能します。潜在的に数千に及ぶお客様がマイクロソフトのサービスを監査することは、実現可能な実践ではなく、セキュリティを侵害する可能性もあります。
Microsoft Online Services の内部監視には、インフラストラクチャの自動化された法令遵守監視が含まれます (たとえば、脆弱性スキャン、侵入テスト、およびプロセスと人員の管理のテスト)。Microsoft Online Services の第三者検証プログラムには、Microsoft Online Services のセキュリティの取り組みを検証するために年に 1 回の頻度で行われる独立した監査が含まれます。
いいえ。マイクロソフトは、個々のお客様のために監査義務をカスタマイズすることに同意できません。費用およびさまざまな義務間の潜在的な矛盾により、監査のカスタマイズは実践できません。
データ侵害へのマイクロソフトの対応については、お客様のサービス契約を参照してください。